(資料圖片僅供參考)

作者：馬上消費(fèi)研究院 周蓉蓉隨著隱私計(jì)算的火熱，其引發(fā)的商業(yè)價(jià)值和隨之而來的法律問題也進(jìn)入公眾視野。2021年，隱私計(jì)算賽道云集了互聯(lián)網(wǎng)大廠、金融機(jī)構(gòu)和各類初創(chuàng)專精型公司，AI、區(qū)塊鏈等曾經(jīng)熱門賽道的企業(yè)也紛紛開始加注隱私計(jì)算，以尋求第二增長(zhǎng)曲線。2021年3月31日，北京國(guó)際大數(shù)據(jù)交易所成立，北京數(shù)據(jù)交易系統(tǒng)上線。作為國(guó)內(nèi)首家基于“數(shù)據(jù)可用不可見，用途可控可計(jì)量”新型交易范式的數(shù)據(jù)交易所，北京數(shù)據(jù)交易系統(tǒng)是基于區(qū)塊鏈和隱私計(jì)算技術(shù)支持的全鏈條交易服務(wù)體系，為市場(chǎng)參與者提供數(shù)據(jù)清洗、供需撮合、法律咨詢、價(jià)值評(píng)估、權(quán)屬認(rèn)證等一系列專業(yè)化服務(wù)。2022年2月28日，廣東省人民政府辦公廳印發(fā)《廣東省數(shù)字政府改革建設(shè)2022年工作要點(diǎn)》（粵辦函[2022]24號(hào)）指出，“探索運(yùn)用區(qū)塊鏈、隱私計(jì)算等新技術(shù)強(qiáng)化數(shù)據(jù)安全防護(hù)”。根據(jù)由隱私計(jì)算聯(lián)盟、中國(guó)信息通信研究院云計(jì)算與大數(shù)據(jù)研究所于2021年7月聯(lián)合發(fā)布的《隱私計(jì)算白皮書（2021年）》，隱私計(jì)算（Privacy-preserving computation）的定義是“在保證數(shù)據(jù)提供方不泄露原始數(shù)據(jù)的前提下，對(duì)數(shù)據(jù)進(jìn)行分析計(jì)算的一系列信息技術(shù)，保證數(shù)據(jù)在流通和融合過程中的可用不可見”。隱私計(jì)算最具代表性的是多方安全計(jì)算，由圖靈獎(jiǎng)獲得者姚期智院士于1982年提出，至今已有40年。在隱私計(jì)算領(lǐng)域，另有聯(lián)邦學(xué)習(xí)、可信執(zhí)行環(huán)境為典型代表。隱私計(jì)算技術(shù)體系既包含混淆電路、不經(jīng)意傳輸?shù)鹊讓用艽a學(xué)技術(shù)，也包含零知識(shí)證明、差分隱私等輔助技術(shù)。不同技術(shù)各有所長(zhǎng)，在解決不同問題時(shí)所發(fā)揮的作用各有千秋，在具體應(yīng)用場(chǎng)景中，往往根據(jù)問題需求、行業(yè)類別、數(shù)據(jù)規(guī)模等因素而選擇隱私計(jì)算的不同技術(shù)結(jié)合使用。例如，隱私計(jì)算在醫(yī)療領(lǐng)域得到豐富應(yīng)用，國(guó)家醫(yī)療健康大數(shù)據(jù)的首批試點(diǎn)城市廈門，基于隱私計(jì)算建立了健康醫(yī)療大數(shù)據(jù)應(yīng)用開放平臺(tái)；在金融領(lǐng)域應(yīng)用于互聯(lián)網(wǎng)金融和消費(fèi)金融風(fēng)控模型等。在隱私計(jì)算迎來“風(fēng)口”的當(dāng)下，其優(yōu)勢(shì)與價(jià)值自不必言，然而不能回避的是技術(shù)的“雙刃劍”效應(yīng)，其中蘊(yùn)含的法律問題值得深思。一、隱私計(jì)算真正提升數(shù)據(jù)合規(guī)了嗎？在數(shù)字經(jīng)濟(jì)發(fā)展動(dòng)能加速釋放的背景下，數(shù)據(jù)作為關(guān)鍵生產(chǎn)要素，在使用層面一直面臨開放、共享以實(shí)現(xiàn)高效利用與保護(hù)、合規(guī)以維護(hù)各方權(quán)益的矛盾。隱私計(jì)算的模式是在保護(hù)隱私的前提下，實(shí)現(xiàn)開放共享。隱私計(jì)算的核心競(jìng)爭(zhēng)力是數(shù)據(jù)在流通和融合過程中的“可用不可見”，但使用隱私計(jì)算并不意味著可以解決數(shù)據(jù)流通融合的所有合規(guī)問題。隱私計(jì)算不同技術(shù)路線各有合規(guī)痛點(diǎn)。比如性能良好的多方安全計(jì)算路線需引入計(jì)算輔助方，面臨可信挑戰(zhàn)；傳統(tǒng)聯(lián)邦學(xué)習(xí)的安全性證明不嚴(yán)謹(jǐn)；硬件TEE方案有較好的性能和算法生態(tài)，但數(shù)據(jù)集中式處理，依賴廠商硬件的可信賴程度，因此需要結(jié)合具體場(chǎng)景需求采用合適的技術(shù)路線。隨著網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法相繼施行，數(shù)據(jù)的使用、流通與保護(hù)將得到進(jìn)一步規(guī)范。隱私計(jì)算在某種意義上成為平衡個(gè)人信息的商業(yè)流通價(jià)值與個(gè)人權(quán)益兩種價(jià)值可行的技術(shù)解決方案之一。但我國(guó)法律尚未對(duì)隱私計(jì)算等技術(shù)的合法性和合規(guī)性做出明確規(guī)定，致使隱私計(jì)算企業(yè)在技術(shù)產(chǎn)品設(shè)計(jì)、業(yè)務(wù)流程設(shè)計(jì)方面仍然欠缺規(guī)范指引。例如，現(xiàn)有法律規(guī)定“未經(jīng)被收集者同意，網(wǎng)絡(luò)運(yùn)營(yíng)者不得向他人提供個(gè)人信息”，而隱私計(jì)算的目標(biāo)就是基于多方數(shù)據(jù)的計(jì)算，原則上破壞了這一要求，但同時(shí)又可能適用于“經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原”的例外條款。根據(jù)歐盟的立法，即使參與聯(lián)邦學(xué)習(xí)的主體沒有訪問對(duì)方的數(shù)據(jù)，也可能被認(rèn)為是共同控制者。因此，在采用隱私計(jì)算技術(shù)方案時(shí)，仍需重點(diǎn)關(guān)注數(shù)據(jù)的使用授權(quán)。通常情形下，根據(jù)各方職能劃分，隱私計(jì)算參與方可分為“數(shù)據(jù)提供方”、“技術(shù)提供方”和“結(jié)果使用方”三方。數(shù)據(jù)來源的合法性是對(duì)數(shù)據(jù)提供方提出的最為關(guān)鍵的合規(guī)要求。無論是直接收集的數(shù)據(jù)（數(shù)據(jù)提供方直接向數(shù)據(jù)主體進(jìn)行收集），或者間接獲取的數(shù)據(jù)（數(shù)據(jù)提供方向數(shù)據(jù)供應(yīng)商采購(gòu)的數(shù)據(jù)），或者自身生產(chǎn)經(jīng)營(yíng)活動(dòng)所產(chǎn)生的商業(yè)數(shù)據(jù)，或?qū)κ占瘮?shù)據(jù)進(jìn)行梳理匯總所形成的衍生數(shù)據(jù)，如果在隱私計(jì)算技術(shù)啟用的起點(diǎn)，數(shù)據(jù)提供方的數(shù)據(jù)來源沒有遵循“合法、正當(dāng)、必要的原則，公開收集規(guī)則，明示收集信息的目的、方式和范圍，并經(jīng)被收集者同意”，沒有限于“實(shí)現(xiàn)處理目的的最小范圍”，存在瑕疵甚至不法，那么后續(xù)計(jì)算的過程、計(jì)算的結(jié)果都將面臨侵權(quán)的指責(zé)和責(zé)任的承擔(dān)。在同意的合法性基礎(chǔ)條件下，雖然源數(shù)據(jù)并不出庫(kù)，但數(shù)據(jù)處理者仍然是基于對(duì)數(shù)據(jù)主體的數(shù)據(jù)實(shí)施特定的“處理”而產(chǎn)出了計(jì)算結(jié)果（例如通過分析不同網(wǎng)絡(luò)平臺(tái)的用戶數(shù)據(jù)得出平臺(tái)用戶的收入水平）。用戶有權(quán)了解數(shù)據(jù)處理的具體內(nèi)容，以滿足《個(gè)人信息保護(hù)法》規(guī)定的透明度規(guī)定，在此情況下，用戶所在的平臺(tái)是否有必要披露多方參與主體的具體信息，仍然可能存在不確定性。如個(gè)人信息已經(jīng)匿名化處理后不再屬于個(gè)人信息的范疇，則應(yīng)轉(zhuǎn)而適用《數(shù)據(jù)安全法》等關(guān)于數(shù)據(jù)方面的使用合規(guī)要求。《個(gè)人信息保護(hù)法》中規(guī)定了個(gè)人信息處理者自行處理及涉他處理（共同處理、委托處理、共享）的不同情形，不同情形的法定義務(wù)大不相同。例如，委托處理情形無需對(duì)數(shù)據(jù)主體告知同意，而共享情形下（即個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息的情形）應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類，并取得個(gè)人的單獨(dú)同意，如果接收方變更原先的處理目的、處理方式的，還應(yīng)當(dāng)依法重新取得個(gè)人同意。作為隱私計(jì)算的數(shù)據(jù)提供方，其提供的數(shù)據(jù)究竟能否使用、可以怎樣使用、應(yīng)當(dāng)在怎樣的范圍內(nèi)使用，不同的應(yīng)用場(chǎng)景下，在不同的使用方式下，得出的答案可以大不相同。此外，由于聯(lián)邦學(xué)習(xí)中的梯度仍然可以揭示衍生的一些個(gè)人信息，特別是當(dāng)模型很復(fù)雜、有很多細(xì)粒度變量的情況下，個(gè)人信息仍有被重新識(shí)別的風(fēng)險(xiǎn)。在非匿名化個(gè)人信息的數(shù)據(jù)交互后，如何有效的實(shí)現(xiàn)數(shù)據(jù)生命周期末端——包括個(gè)人信息主體請(qǐng)求以及法律規(guī)范所要求的數(shù)據(jù)刪除及監(jiān)控日志等問題，需要相關(guān)主體在隱私計(jì)算設(shè)計(jì)中即充分考慮此類合規(guī)問題并加以實(shí)現(xiàn)。二、隱私計(jì)算有效實(shí)現(xiàn)數(shù)據(jù)流通了嗎？多方安全計(jì)算、聯(lián)邦學(xué)習(xí)等技術(shù)，相對(duì)與傳統(tǒng)的數(shù)據(jù)聚合和機(jī)器模式明顯增強(qiáng)了對(duì)于數(shù)據(jù)的保護(hù)、降低了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。因此，包括歐盟在內(nèi)的部分地區(qū)將其視為“數(shù)據(jù)最小化”的一種實(shí)現(xiàn)方式。但其帶來技術(shù)壁壘及安全性隱患不容忽視。技術(shù)協(xié)同方面，當(dāng)前入局者們的技術(shù)互不相同，相關(guān)企業(yè)不愿意公開自己的底層協(xié)議，發(fā)展水平也不一，對(duì)隱私計(jì)算產(chǎn)品和技術(shù)的推廣造成一定的困擾。協(xié)議不透明導(dǎo)致安全性難以審計(jì)。安全性方面，隱私計(jì)算的功能在于解決數(shù)據(jù)流通安全性的問題。然而，由于密碼學(xué)上的證明安全與實(shí)際安全并不相等，現(xiàn)階段的隱私計(jì)算技術(shù)面臨安全性難以被論證或證明的困境，很多假設(shè)安全的方法在實(shí)際應(yīng)用上存在嚴(yán)重的安全性漏洞。同時(shí)，隱私計(jì)算也會(huì)帶來很多新的安全問題，比算法歧視，又或者被黑客投入“臟數(shù)據(jù)”“毒數(shù)據(jù)”，導(dǎo)致“數(shù)據(jù)投毒”的風(fēng)險(xiǎn)存在。多方安全計(jì)算是在假設(shè)各方均能夠提供真實(shí)有效數(shù)據(jù)的情況下實(shí)施，但事實(shí)上這過于理想化，數(shù)據(jù)參與方可能基于本身數(shù)據(jù)問題或者基于故意（如競(jìng)爭(zhēng)對(duì)手偽裝參與）或過失而實(shí)施數(shù)據(jù)污染，輸入錯(cuò)誤的源數(shù)據(jù)，這將導(dǎo)致多方計(jì)算結(jié)果的不準(zhǔn)確，從而影響數(shù)據(jù)質(zhì)量。但是，我國(guó)《個(gè)人信息保護(hù)法》第八條明確了“數(shù)據(jù)質(zhì)量原則”，要求保證上個(gè)人信息的質(zhì)量，避免質(zhì)量不準(zhǔn)確、不完整而對(duì)個(gè)人權(quán)益造成不利影響。多方安全計(jì)算的本質(zhì)是“數(shù)據(jù)信任去中心化”，杜絕中心化數(shù)據(jù)的存在，以算法技術(shù)為數(shù)據(jù)安全實(shí)施背書。但是，基于數(shù)據(jù)合謀或者數(shù)據(jù)污染等概率問題存在，多方參與主體仍然有意愿希望在未來的特定時(shí)間，對(duì)多方安全計(jì)算結(jié)果進(jìn)行可溯源的隨機(jī)驗(yàn)證，并以結(jié)果反推各參與方的責(zé)任，但完全基于信任條件下的多方安全計(jì)算在此時(shí)發(fā)生了尷尬，驗(yàn)證溯源可能困難重重。隱私計(jì)算的過程中存在包括個(gè)人信息主體、數(shù)據(jù)提供方、技術(shù)提供方、結(jié)果使用方等多方主體，相關(guān)主體之間的權(quán)責(zé)如何劃分界定，需要在數(shù)據(jù)確權(quán)的理論基礎(chǔ)上，在實(shí)踐中不斷探尋各方主體法益的相對(duì)平衡。在多方安全計(jì)算中，如果若干參與方破環(huán)計(jì)算規(guī)則參與合謀，將可能導(dǎo)致其它參與方的數(shù)據(jù)泄露事件發(fā)生。以“誰是買單者？”游戲?yàn)槔粜〖t和小白發(fā)生合謀，只要小白將其計(jì)算結(jié)果A的數(shù)值告訴小紅，則小紅可以通過小黑告訴自己的數(shù)值B，以“B-A”的方式得出小黑的準(zhǔn)確工資金額。因此，MPC協(xié)議仍然需要明確參與各方的權(quán)責(zé)關(guān)系，以應(yīng)對(duì)未來可能存在的責(zé)任爭(zhēng)議。標(biāo)準(zhǔn)方面，2020年11月，中國(guó)人民銀行發(fā)布《多方安全計(jì)算金融應(yīng)用技術(shù)規(guī)范》（JR/T 0196-2020）金融行業(yè)標(biāo)準(zhǔn)；2021年3月30日，國(guó)際標(biāo)準(zhǔn)組織電氣與電子工程師協(xié)會(huì)發(fā)布正式標(biāo)準(zhǔn)文件（IEEE P3652.1）并于11月正式發(fā)布多方安全計(jì)算IEEE國(guó)際標(biāo)準(zhǔn)——《IEEE2842-2021 - Recommended Practice for Secure Multi-Party Computation》；2022年4月15日，國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布《信息安全技術(shù) 可信執(zhí)行環(huán)境 基本安全規(guī)范》，確立了可信執(zhí)行環(huán)境系統(tǒng)整體技術(shù)架構(gòu)，描述了可信執(zhí)行環(huán)境基礎(chǔ)要求、可信虛擬化系統(tǒng)、可信操作系統(tǒng)等主要內(nèi)容及其測(cè)試評(píng)價(jià)方法；近日，中國(guó)信息通信研究院聯(lián)合中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)中互金認(rèn)證頒發(fā)了我國(guó)首張“聯(lián)邦學(xué)習(xí)產(chǎn)品安全認(rèn)證證書”，通過權(quán)威認(rèn)證助力金融隱私計(jì)算高質(zhì)量發(fā)展。如果能通過底層編譯器實(shí)現(xiàn)數(shù)據(jù)流圖層的兼容互通，支持一鍵改寫和適配上層多種算法，同時(shí)一定程度上將協(xié)議公開，使安全性可追溯、可驗(yàn)證，隱私計(jì)算的協(xié)同性將更大程度得以實(shí)現(xiàn)。三、隱私計(jì)算充分釋放數(shù)據(jù)價(jià)值了嗎？隱私計(jì)算作為可以促進(jìn)數(shù)據(jù)流通融合的有效技術(shù)方案，迎來一波市場(chǎng)熱潮。無論是互聯(lián)網(wǎng)大廠還是隱私計(jì)算初創(chuàng)企業(yè)，入局者都在努力助推技術(shù)的發(fā)展創(chuàng)新，努力和眾多產(chǎn)業(yè)、具體應(yīng)用場(chǎng)景進(jìn)行融合對(duì)接。但是，隱私計(jì)算解決了數(shù)據(jù)“能”拿出來的問題，但沒有解決數(shù)據(jù)價(jià)值閉環(huán)的問題。多方安全計(jì)算系由多方共同提供數(shù)據(jù)源而生成計(jì)算結(jié)果，各方均由此得益，但仍然面臨各方數(shù)據(jù)輸入數(shù)據(jù)的量級(jí)或者質(zhì)量程度不一的情況，多方的貢獻(xiàn)比例可能難以衡平，而各方均又希望獲得計(jì)算結(jié)果，該計(jì)算結(jié)果的數(shù)據(jù)權(quán)益（屬）歸于共同，還是通過合同方式確認(rèn)歸屬，抑或是二次利用，可能仍然會(huì)在一定程度上引發(fā)爭(zhēng)議，仍然有賴于參與各方通過協(xié)議方式予以明確。各方數(shù)據(jù)處理者或數(shù)據(jù)主體需要愿意分享他們擁有的數(shù)據(jù)，如果數(shù)據(jù)主體明確不同意數(shù)據(jù)的流通融合，那么數(shù)據(jù)提供方即使確保了數(shù)據(jù)來源的合法性（數(shù)據(jù)主體同意其采集），即使因?yàn)殡[私計(jì)算“數(shù)據(jù)可用不可見”的核心競(jìng)爭(zhēng)力大幅降低了數(shù)據(jù)泄露風(fēng)險(xiǎn)和數(shù)據(jù)主體權(quán)益的侵害可能，但也無權(quán)將數(shù)據(jù)用于流通融合。當(dāng)多方參與主體數(shù)量較少，且各方投入數(shù)據(jù)不豐富的情況下，計(jì)算生成的結(jié)果仍然可能屬于“個(gè)人信息”，從而引發(fā)數(shù)據(jù)處理者更多更高的義務(wù)。例如，多方參與平臺(tái)通過計(jì)算，得出納入計(jì)算的用戶數(shù)據(jù)均存在“18周歲以上”的畫像標(biāo)簽值，則該標(biāo)簽值適配于所有用戶，屬于關(guān)聯(lián)于個(gè)人的個(gè)人信息。多方安全計(jì)算需要根據(jù)數(shù)據(jù)情況生成相應(yīng)的隨機(jī)數(shù)，這會(huì)減慢運(yùn)行時(shí)間，對(duì)算力成本提出挑戰(zhàn)，參與方也需要有一定的通信連接成本。例如，在“誰是買單者？”游戲中，為了區(qū)別簡(jiǎn)單的工資數(shù)值，需要輸入一個(gè)很不一樣的隨機(jī)巨大值，這無疑延長(zhǎng)了“人腦計(jì)算”結(jié)果的效率，算力也面臨同樣的問題。現(xiàn)階段隱私計(jì)算技術(shù)發(fā)展仍處于早期，盡管初步具備可用性，但許多核心要點(diǎn)以及核心應(yīng)用尚未得到更廣泛認(rèn)同，其應(yīng)用中亟待提升對(duì)更大的數(shù)據(jù)方和數(shù)據(jù)量以及更復(fù)雜場(chǎng)景的應(yīng)對(duì)能力。在全面推進(jìn)數(shù)字化轉(zhuǎn)型的政策引領(lǐng)下，在促進(jìn)數(shù)據(jù)流通融合的時(shí)代背景下，發(fā)展隱私計(jì)算技術(shù)、拓展其場(chǎng)景應(yīng)用是一種值得肯定的創(chuàng)新，但也應(yīng)保持冷靜，充分意識(shí)到其風(fēng)險(xiǎn)和隱患，關(guān)注其發(fā)展中的痛點(diǎn)和難點(diǎn)，及時(shí)運(yùn)用經(jīng)濟(jì)、法律和政策等手段加以規(guī)制，在維護(hù)數(shù)據(jù)安全、實(shí)現(xiàn)數(shù)據(jù)流通、釋放數(shù)據(jù)價(jià)值中找到平衡的支點(diǎn)。